Menukaart risicomanagement

Om een grote organisatie te helpen risicomanagement aan het management te verkopen heb ik een keer deze menukaart risicomanagement gemaakt. Elke afdeling of project mocht (niet verplicht) haar eigen menukeuze maken. En er mocht buiten de P&C cyclus gegeten worden. ….

Voorgerecht

Risicomanagement en cultuur (0,5 dag)

Doelgroep: management teams

De risicohouding van uw organisatie is zeer bepalend voor het risicoprofiel. Een gezonde mix tussen risiconemende en risicomijdende medewerkers draagt bij aan een goed risicoprofiel.

Binnen organisaties wordt over het algemeen niet transparant gesproken over risico’s. We vertellen liever over successen dan over (mogelijk) falen – vaak uit angst hier op afgerekend te worden. Veel risico’s worden dan ook pas ontdekt als de meeste beheersmaatregelen geen nut meer hebben.

Een meer open cultuur is er een waar leiding en medewerkers bij het nadenken over te bereiken doelen ook denken aan mogelijke beren (risico’s) op de weg naar het doel en hoe hier mee om te gaan.

Vragen die tijdens de workshop beantwoord worden: hoe zorgt u voor een alerte en kritische blik van medewerkers; wat is uw meld-cultuur en hoe creëert u een organisatie waarin risico nemen en risico beheersen hand in hand gaat?

• Risicogedrag

• Risicohouding

• Wat veranderd een risicohouding?

• Risicocultuur; nudges en aanspreekcultuur

• Hoe werkt het in kleine teams?

• Hoe werkt het voor de hele club?

Hoofdgerecht

Risicoanalyse  (0,5 dag )

Doelgroep: organisatie, selectie van medewerkers, afdelingen

U wilt graag een risicoanalyse uitvoeren binnen uw afdeling. Omdat hierbij meerdere specialismen betrokken zijn, is het van belang dat u discipline overstijgend kijkt voor welke medewerkers deze sessie van belang is. Deze training is praktijkgericht: naast het aanbod van een theoretisch kader wordt er daadwerkelijk een risicoanalyse uitgevoerd. Er zal een intake plaatsvinden om de analyse zo goed mogelijk voor te bereiden en aan te laten sluiten bij het onderwerp. Zie meer informatie blog over risicodialoog.

Inleiding en risico-identificatiestructuur

Inleiding en doelstellingen

Context analyse

Risico-identificatie (theorie en praktijk), vastleggen in versnellingskamer Naris

Stemmen kans en impact

Bespreken perceptie verschillen

Dessert

Verankering risicomanagement (0,5 dag)

Doelgroep: managementteams /verantwoordelijken

Risicomanagement kent veel externe drijfveren, zoals wetgeving en verantwoording. Als u risico’s blijvend efficiënt en tijdig wilt beheersen, dan moet u risicomanagement verankeren binnen uw organisatie.

De sleutel tot verankering ligt in het besef dat risicomanagement een instrument is om processen, ten behoeve van de door het directie vastgestelde doelstellingen, goed te sturen en beheersen. Verankering betekent dat dit besef breed in uw organisatie wordt onderschreven: niet omdat het moet maar omdat elk niveau in de organisatie het nut er an inziet.

In deze workshop wordt, met behulp van diverse best practices, het containerbegrip risicomanagement en de complexiteit van verankering teruggebracht tot een goed uitvoerbaar stappenplan. Aan bod komen onder meer

  • Inleiding risicomanagement
  • Positionering risicomanagement en instrumenten
  • plan van aanpak implementatie
  • faal en succesfactoren

De gemeente Arnhem heeft haar eigen menukaart. Ook een mooi voorbeeld.

Pas op voor micromanagement op foutencultuur

Sommigen dingen zijn onomstotelijk: de buitenwereld wil verrassingen vermijden en daarom tijdig informatie ontvangen. Governance en het begrip transparantie zijn in dit licht nauw met elkaar verbonden. Toch is het melden van fouten en risico’s geen standaard menselijke eigenschap waardoor deze verrassingen de bestuurders vaak veel te laat bereiken.  Een bestuurder kan zich echter niet achter dit feit verschuilen, omdat hij óók verplicht is een goed risicomanagement in te richten; niet alleen qua proces maar vooral qua cultuur.

Onze huidige wereld wordt door alle social media voortdurend transparanter. Zelfs traditioneel ‘gesloten bolwerken’ als FBI en Goldman Sachs krijgen tegenwoordig te maken met gaten in hun defensie. Er zijn meerdere prangende voorbeelden bekend waarbij informatie naar de pers en naar toezichthouders werd gelekt. Hierdoor eisen toezichthouders steeds meer transparantie van organisaties, wat vaak weer extra toezicht of scherpe maatregelen tot gevolg heeft.

Praktijkgeval: meer toezicht en slechtere kwaliteit?

Tijdens een van mijn colleges uitte een accountant het gevoel dat tegenwoordig bijna elke fout van een accountant direct bij de AFM gemeld wordt. Of dit daadwerkelijk het geval is is niet essentieel. Wat echter wel duidelijk is, is dat na alle incidenten rondom de kwaliteit van de accountancy toezichthouders steeds strenger zijn geworden.

Deze extern afgedwongen transparantie zorgt ervoor dat men intern geen fouten meer durft te maken en te delen. Jammerlijk, want juist door het leren van elkaars fouten wordt de kwaliteit gewaarborgd. Tijdens de discussie werd vooral de veiligheid van de organisatie vaak benoemd. Is een organisatie niet bedoeld om bescherming te bieden?

Belangrijk onderdeel is vaak de registratie van fouten en bijna fouten. De verplichte registratie maakt medewerkers angstig om zaken vast te leggen hoe makkelijk het meldsysteem ook is.

Wat zegt Van Manen? 

2.6.1 Regeling voor melden van (vermoedens van) misstanden en onregelmatigheden. Het bestuur stelt een regeling op voor het melden van (vermoedens van) misstanden en onregelmatigheden binnen de vennootschap en de met haar verbonden onderneming. De regeling wordt op de website van de vennootschap geplaatst. Het bestuur draagt zorg dat werknemers zonder gevaar voor hun rechtspositie de mogelijkheid hebben een melding te doen.

2.6.2 Informeren voorzitter raad van commissarissen.  De voorzitter van de raad van commissarissen wordt door het bestuur onverwijld geïnformeerd over signalen van (vermoedens van) materiële misstanden en onregelmatigheden binnen de vennootschap en de met haar verbonden onderneming.

De governance code van Van Manen gaat best ver met  ‘vermoedens van materiele misstanden en onregelmatigheden’ signaleert. Toch legt deze code de meldplicht vooral intern (naar de RvC) en wordt de bescherming van medewerkers benadrukt.

Een gezonde foutencultuur

Welke conclusie kunnen we nu trekken? Toezicht dient zich naar mijn idee vooral te richten op het beoordelen van een gezonde foutencultuur en moet zeker niet doorslaan in micromanagement: dit werkt averechts. Een centraal registratie systeem is een prima eis, maar ga er niet in kijken als toezichthouder. Wel kun je door overall rapportages monitoren of er daadwerkelijk incidenten gemeld worden. Ook kunnen trends worden gesignalieerd. Maar ga niet op individuele incidenten in (tenzij de top 5 en hetgeen wettelijk verplicht) en bewaak de veiligheid van de individuele werknemer.

Gelukkig geeft de AFM zelf ook aan dat een goede omgang met fouten zorgt voor betere kwaliteit van dienstverlening, voor betere financiële prestaties en voor meer ethisch gedrag. Schermafbeelding 2018-11-11 om 17.26.09.png

Tot slot denk ook ìk dat de accountants moeten veranderen en dat ze daar ook al mee bezig zijn. Persoonlijk zie ik de oplossingen vooral in de governance/maatschap- structuur liggen, en veel minder in het micromanagement op incidenten.

Chief risk officer zorgt voor risico-nemend gedrag

Na het Enron schandaal in 2001, en de direct daarop ingevoerde Sarbanes-Oxley Act van 2002 zette een interessante ontwikkeling in: veel banken begonnen met het aannemen van chief risk officers (CRO’s). Bij de Amerikaanse grote banken groeide in 6 jaar het percentage CRO’s zelfs van minder dan 1% (2000) naar bijna 25 % in 2006.

Als weldenkend mens zou je menen dat de banken daarmee risicomijdender waren geworden, maar uit onderzoek bleek juist het tegendeel: Het aannemen van een CRO zorgde tegen alle verwachtingen in voor méér risicovol gedrag. Het onderzoek in kwestie nam de handel in derivaten bij 157 grote banken van 1995 tot 2010 onder de loep. Deze derivaten vormen een belangrijk onderdeel van de CRO toolkit.

Vrijbrief

De onderzoekers noemden een aantal redenen als grondslag voor dit fenomeen. De meest dwingende echter, suggereerde dat de aanstelling van een C-suite risk officier een vorm van ‘morele licentie’ (vrijbrief) is.

Letterlijk schreven zij: Bij het aanstellen van CRO’s, hebben de banken aan medewerkers het gevoel gegeven dat zij bij een ‘risicovrije’ onderneming werkten, want de risico’s werden gemanaged door de CRO. Door dit misplaatste gevoel van veiligheid en schijnbeheersing lieten medewerkers hun eigen zelfbeheersing om te veel risico’s te nemen los.

Focus op risk adjusted return

Op hun beurt bevorderden deze risico-experts (CRO’s met kwantitatieve achtergrond) nieuwe derivaten als onderdeel van het sturen op risico’s en rendement (risk adjusted return), in plaats van alle risico’s te willen vermijden. Deze mindshift (van risicomijdend naar risiconemend gedrag) werd vervolgens versterkt door de focus en interne druk op rendement van CEO’s en institutionele investeerders.

Conclusie

Een CRO zorgt dus voor meer risico-nemend gedrag. De vraag is of dit nu slecht is. In ieder geval verdwijnt op deze manier een stuk “tegenkracht” in de organisatie terwijl naar de stakeholder toe wel het beeld leeft dat door de CRO men meer in control is.

Naar mijn inziens dient het persoonlijkheidsprofiel van een CRO toch wat minder kwantitatief enthousiast te zijn en meer de focus op cultuur te leggen. Een goede risicosessie of risicodialoog is belangrijker om het risicobewustzijn te vergroten.

 

 

Risicomanagement in de lijn

Eigenlijk mag je niet met risicomanagement starten als de “tone at the top” niet goed is. Daarom wordt er relatief veel aandacht besteed om de top mee te krijgen. Immers als de directie het juiste gedrag laat zien volgt de rest van zelf. Toch is de praktijk vaak weerbarstig. Met enige regelmaat zie ik dat de top ….

  • risicomanagement teveel als eenmalige exercitie ziet (los van de reguliere business)
  • risicomanagement te veel aan de tweede lijn overlaat.
  • vergeet de stukken door te communiceren naar het midden management
  • onvoldoende het besef heeft dat het bij risicomanagement direct om hun eigen management stijl gaat
  • niet in staat is om zich kwetsbaar op te stellen naar de rest van de organisatie

Mood at the middle

Naast de tone at the top is het daarom van belang het middenmanagement minstens dezelfde aandacht te geven. Als je risicomanagement echt laat aansluiten bij de manier waarop zij managen en beslissingen nemen heb je kans op een echte cultuur verandering. Zij zitten immers dichter op de kernactiviteiten en hebben contacten met de belangrijkste klanten/ afnemers. Daarmee zijn zij de oren en ogen van de organisatie welke signalen in een vroeg stadium kunnen opvangen. Schermafbeelding 2016-04-13 om 21.59.09.png

Verleiding

Als je niets geeft kun je ook niets terug verwachten. Het midden management dient daarom verleid te worden.  Dus…..

  • Organiseer een serie goede risico-dialogen voor het eigen management team. Niet eenmalig, maar bijv. 4 dialogen per jaar. Dit zorgt voor de juiste druk om ook om de sessies heen risicobewust te handelen. Zorg voor een goede intake om de ambities zo veel mogelijk in de sessie te verwerken. Sluit hierbij zo veel mogelijk aan bij de doelstellingen van de afdeling. Randvoorwaarden zijn veiligheid en minimale belasting. Een veilige omgeving creëer je door de afspraak dat alles binnen de afdeling blijft behalve als daar overeenstemming over is. Qua belasting moet een sessie van 1.5 a 2 uur voldoende zijn. Gebruik daarbij een versnellingskamer zodat men daarna ook echt klaar is.
  • Bouw een risicoregister of kennisdatabase zodat het middenmanagement het wiel niet opnieuw hoeft uit te vinden.
  • Vergroot de kennis en kunde op gebied van risicomanagement door iemand in zijn eigen omgeving te trainen. Deze medewerker (soms risicomanagement coördinator genoemd) kan hem helpen bij analyses en rapportages. Organiseer een training voor de risico-coördinatoren van de verschillende afdelingen waarbij vooral op houding en gedrag wordt ingegaan.
  • Zorg voor (positieve) groepsdruk binnen de afdeling door het integrale beeld van de afdeling te laten zien. Wie heeft de meeste risico’s en wie de minste?schermafbeelding-2016-10-09-om-12-19-41

Cruijff lessen in risicomanagement

Na het overlijden van Cruijff toch maar het boek “je gaat het pas zien als
je het doorhebt”
van Winsemius uit de kast gepakt. Kijken of er nog een risicomanagement lesje van Johan te vinden is. En jawel in het  hoofdstuk “Stel je hebt 16 goede spelers, heb je dan ook een goed team

Risk takers

Cruijff zegt daarover het volgende “kijk als het goed is, heb je in een elftal een paar man, meestal voorin, die geniale dingen kunnen doen. Die dingen zijn geniaal, omdat andere ze niet kunnen en er zelfs niet aan denken. Maar ze nemen daarbij onvermijdelijke risico’s. Voor die geniale spelers zijn die geniale dingen ook vaak nieuw. En dus gaat er vaak wat mis.” Maar de spits heeft ook een andere belangrijke taak;  hij is de eerste verdediger.  Dit vraagt discipline iets waar spitsen toch vaak iets minder van hebben.

Waterdragers; discipline en concentratie

“Maar er is een keerzijde; dat soort risico’s kun je alleen maar lopen, als erachter mensen staan – twee in de as- die nooit falen. Deze waterdragers zijn vaklui.  Zij kennen hun vak, weten wat goed en fout is en houden zichzelf en anderen scherp. Hun rol gaat daarom verder dan alleen de wedstrijd”.

Botsing 

Vaak komt in mijn colleges/ trainingen de botsing tussen risico-nemende en risico- mijdende personen aan de orde.  In organisaties ontwijken deze bloedgroepen elkaar.  Na het lezen van Johan denk ik dat ik de term “risicomijdende medewerkers ” vervang door  het positiever geformuleerde woord “waterdragers”.

Door de spitsen en waterdragers in je organisatie te benoemen en  ze expliciet te laten botsen, kun je in  mijn ogen wel eens meer wedstrijden winnen.

Schermafbeelding 2016-03-27 om 11.52.30

Fouten cultuur voorbeeld

Hoe makkelijk klinkt het niet; we willen een positieve fouten cultuur. Maar hoe moeilijk is de praktijk. Je leert het meest van gemaakte fouten door ze met elkaar te delen. Maar zie jij je zelf met een microfoon in de hand een zaal toespreken over je Grootste Fout? Dat vergt Lef met een fikse hoofdletter. Er zijn echter wekelijks meer dan honderdduizend mensen in 26 landen die luisteren naar een spreker die iets ernstig heeft verprutst.

FuckUp Nights

Tijdens deze zogeheten FuckUp Nights, een netwerkborrel in een café-achtige setting, kun je gedurende maximaal zeven minuten je grootste zakelijke blunders delen voor een publiek. Iedereen in het publiek kan op het podium geroepen worden om zijn flater te delen, zodat leedvermaak er niet bij is. Een van de ongeschreven regels is dat de blunder niet op het conto mag komen van privéomstandigheden. Een andere – en misschien wel de allerbelangrijkste – ongeschreven regel is dat je na de tegenslag weer opgekrabbeld bent. ‘Horen dat je het kan verkloten, maar dat het toch nog goed kan komen, voelt voor velen als een verademing,’ aldus een van de organisatoren.

Vooralsnog bestaat het publiek uit overwegend jonge zzp’ers en lijkt er voor de rest van de werkende bevolking een drempel te zijn om zich eens ‘proud to be fout’ te tonen. Stel je jezelf daarmee carrièretechnisch gezien te kwetsbaar op? Misschien, maar wat het zeker helpt is de tone at the top – een manager die zijn (herstelde) fout toegeeft – of een veilige omgeving.

Begrip voor Pietje precies 

Het is niet eenvoudig om je schroom af te werpen en fouten te delen. Als ik na een mooi filmfragment “famous faillure” een rondje “proud to be fout” doe, blijkt vaak dat medewerkers sommige fouten wel erg diep wegstoppen. Maar als uiteindelijk toch iedereen overstag gaat, ontstaat er een positieve sfeer. In plaats van “mister perfect”  is die collega toch ook een normaal mens. En eindelijk snapt iedereen waarom hij zo’n pietje precies is.

Kortom we leren meer van  elkaars faalervaringen dan uit succesverhalen. Het is zelfs bewezen dat ondernemers die failliet zijn geweest daarna vaker succesvoller zijn dan starters. Kortom: learn to fail or fail to learn!

Schermafbeelding 2015-03-25 om 17.01.45

(met dank aan Rene Pennings)

Stappenplan risicomanagement

Stel je voor; je organisatie probeert al aantal jaren lang op verschillende manieren vorm te geven aan risicomanagement, maar het komt nauwelijks van de grond. Er is een risicomanagementbeleid, een risicomanagementsysteem en tweemaal per jaar wordt de risicoanalyse uitgevoerd. Maar wat je ziet is dat als het lijstje met risico`s eenmaal is opgesteld er niemand meer naar vraagt of iets mee doet. Kortom risicomanagement leeft totaal niet bij de rest van de organisatie of het management! En dit terwijl het in deze turbulente tijd  juist kan helpen structuur in de complexiteit aan te brengen.

Hieronder geef ik een nader stappenplan om risicomanagement meer levend te krijgen. Hierbij haak ik aan bij onze dagelijkse praktijkervaringen en inzichten van strategische denkers als Robert Kaplan en Annette Mikes.

Stappen doorontwikkeling 

Stap 1 Ontwikkel strategie risicomanagement

Om de strategie voor risicomanagement te bepalen wordt eerst een analyse gemaakt van de bestaande risicomanagement praktijk (hard en zacht).Schermafbeelding 2014-12-15 om 11.10.19

  • Wat is de visie van de directie qua risicomanagement?
  • Wat is de risk appetite van de directie inrelatie tot haar strategie en performance?
  • Welke voorbeeld gedrag laat de directie zien?
  • Welke formele en informele overleggen over risico`s vinden er plaats?
  • Komen de verschillende risicoanalyses bij elkaar?
  • Is het helder wie waar voor verantwoordelijk is?
  • Hoe is de fouten cultuur?  Wordt er geleerd van incidenten?

Hoe hier inzicht in te krijgen? Door middel van een volwassenheidscan risicomanagement. Mijn advies is om hier een aantal korte (30minuten) interviews voor te organiseren. Dit geeft een goed globaal beeld van de belangrijkste aspecten. Besteedt in deze interviews ook aandacht aan het onderscheid in te voorkomen, strategische en externe risico`s. Mijn ervaring is dat management hier enthousiast van wordt. Op basis van deze gesprekken wordt een ontwikkelstrategie en een standaard risicotaal worden ontwikkeld. Deze gaat uit van een juiste balans tussen de instrumentele en gedragsverandering. De genoemde risicotaal bevat dus ook een aantal cultuur regels bijv. Als je je “risico’s niet kent kun je ze ook niet nemen “ of “Het merendeel van de risico’s beheersen wij uitstekend”.

Stap 2 Herpositionering

Schermafbeelding 2014-12-15 om 11.11.37De lessen zijn ongetwijfeld geleerd dat risicomanagement te weinig toegevoegde waarde levert voor het management als het enkel en alleen vanuit financien wordt ingericht. Ons inziens van belang het oorspronkelijke team te verbreden en te diversificeren. Hoewel een aanjaagteam het best als apart team vlakbij directeur gepositioneerd dient te worden, behoort het niet altijd tot de mogelijkheden. In ieder geval dienen er nieuwe mensen vanuit een andere achtergrond bij betrokken te worden. Bijvoorbeeld communicatie, projectleiders, mensen met presentatievaardigheden.

Instrumentele kernvragen zijn;

  • Welk mandaat/taken en verantwoordelijkheden heeft het kernteam?
  • Is er centraal budget beschikbaar?
  • Is er voldoende kennis van het risicomanagement proces?
  • Hoe escaleren we als de eerste lijn niet meewerkt?
  • Hoe knopen we de deelgebieden qua risicomanagement aan elkaar?
  • Hoe rapporteren we?  Aan wie? Hoe vaak?

Qua cultuur;

  • Is er aantoonbare steun in de directie?
  • Zijn de juiste sociale vaardigheden aanwezig binnen het team?
  • Welke weerstand is aanwezig tijdens sessies binnen bedrijfsonderdelen?

Stap 3 Uitvoering en communicatieSchermafbeelding 2014-12-15 om 11.14.05

Na stap 1 en 2 is er een ontwikkelstrategie en een team dat in staat is hier invulling aan te geven. Hierbij sluiten wij aan bij de studie van Annette Mikes welke onderzocht welke succesfactoren er voor een breed gedragen risicomanagement binnen de bankensector te benoemen zijn. Alleen een format de organisatie inslingeren is niet voldoende; de organisatie dient verleid te worden regelmatig een dialoog over de risico’s te voeren. Dit kan niet anders dan door hier gewoon mee te beginnen; eerst op het hoogste niveau en daarna afdalend naar andere organisatie onderdelen. De sessies dienen op een creatieve wijze vorm gegeven te worden. Niet te plichtmatig. Creativiteit door middel van filmpjes, stellingen zijn hierbij van belang.

Daarnaast zijn goed communinceerbare instrumenten een belangrijke succesfactor in het vergroten van de invloed van risicomanagement.  Denk hierbij aan cirkeldiagrammen, spreidingsanalyses, stakeholder-analyses en strategiekaarten.  Deze instrumenten dienen kennis ontsluiten en vooral praktisch en begrijpelijk voor de gewone medewerker. Ze moeten hulp bieden bij beslissingen, planning en verantwoording van een individuele manager vanuit het primaire proces. Het moet complexe analyses kunnen vertalen naar leesbare plaatjes zodat daar een goede dialoog over gevoerd kan worden. Door deze instrumenten kan een risicomanager zijn toegevoegde waarde aan de organisatie laten zien.